资讯 网络安全

DataVisor维择科技:无监督AI引擎下的游戏反欺诈“保卫战”

作者:灵火K
2019/08/05 15:12

8月2日,以 “数字新娱乐,科技新生活”为展会主题的第十七届中国国际数码互动娱乐展览会(ChinaJoy2019)在上海新国际博览中心隆重举行,在这场精彩绝伦的游戏盛宴上,全球领先的一站式AI反欺诈平台DataVisor也参加了此次盛会。雷锋网雷锋网雷锋网

随着游戏类型的不断增加,其中的安全隐患也将越来越多。尤其是现今黑产猖狂,欺诈越演越烈,逐步渗透进了各行各业,在具有竞技性、挑战性和持续性的游戏行业,欺诈更让黑产们得以滋养。

今天雷锋网(公众号:雷锋网)邀请到了DataVisor维择科技资深行业顾问余丹,跟我们谈谈游戏产业内黑产欺诈的形态以及反欺诈技术。

DataVisor维择科技:无监督AI引擎下的游戏反欺诈“保卫战”


游戏行业欺诈态势大揭秘

近几年,社交平台和电商平台如雨后春笋疯狂增长,改变了人们的生活方式、社交方式,越来越多的人看到了线上的“红利”,在游戏行业里,这样的态势为黑产和欺诈提供了生长的沃土,广触角、多形态地危害用户权益,谋取不法利益。

余丹告诉雷锋网,在游戏行业中的欺诈正在以某种方式形成一种生态,在潜滋暗长。她从两个方面为我们详细解读了在游戏行业中存在欺诈的类型和形态。

一方面是在游戏推广中存在的欺诈,这种欺诈多存在于厂商通过互联网推广的版面中。国内前段时间不允许发游戏的牌照号,导致很多游戏厂商去国外发牌,他们在买量推广中时常买到假量,从用户看广告、点广告,甚至到跳转到应用商店都存在欺诈行为。另一方面是在进入游戏应用后的欺诈,当用户进入游戏中就会面临刷量、刷机、外挂、虚假打关、虚假购买装备、虚假充值等一系列欺诈。

虽然很多机构开展反欺诈的监测和攻击,但所谓道高一尺,魔高一丈。在对黑产行为数据的追踪、分析中,余丹发现了那些黑产们的 “障眼法”。简单来说黑产们会模拟真人,尤其在点击的时候,很多第三方不愿意将数据给客户,客户自己拿不到点击数据就很难去分析,所以就给了黑产可乘之机。他们还会用一些高超的手段,比如虚拟用户,通过操控脚本一起创建账号,一起打关,大批量的行动可以降低成本。有些黑产还会自己组织窝点真人刷机,但是这种方式的成本较高,并且在转移过程中非常困难,所以很多黑产会选择模拟的形式展开行动。

“我们有专门研究黑产行动的人员,之前发现一些黑产的行为实际上是一些群控的软件,成本很高,需要买设备。现在他们直接使用一些模拟器的软件,可以直接操控一百个用户,成本是在降低。如果他们的脚本编的好,可以实现设备随机、IP随机。当他们要去批量控制的时候,都会遵循点击进入游戏,然后注册登录,再完成新手导航的过程,这是一个群组行动。”

从上面黑产的欺诈形态中可以看出,游戏行业的每个环节中都可能存在刷量、刷机欺诈,尤其是在游戏推广阶段的刷量已经成为黑产的焦点。在余丹看来,这种大批量的相类似行为可以成为反欺诈监测的一个标准。

 

反欺诈的“硬核”

黑产虽然猖獗,但并不是无规律可寻,他们经常以团伙形式出现,模仿正常用户行为来逃避检测。而通常情况下,传统的以行业经验进行规则创建和模型训练的反欺诈解决方案,则无法发现新攻击。

“相比于传统的反欺诈检测技术,DataVisor无监督的反欺诈方案可以查看全局内所有账户的活动信息,可以及时有效地区分潜伏账号与合法账号。”

以点击欺诈和安装欺诈为例。当用户看到广告时,会产生点击广告的行为,黑产们会利用归因规则,通过大点击事件、点击劫持去骗取归因。此时,无监督学习可以通过客户提供的脱敏数据,把每一次点击归因到每一个用户身上,再去分析用户在下载APP之前产生过多少次的点击,每一次点击事件的行为如何,通过无监督聚类分析,挖掘潜伏欺诈行为,并做详细说明。

除了可以区分账号的“好与恶”,无监督学习还能够挖掘账号之间的隐秘关联,及时检测未被发现或未在训练数据中标记的新型攻击,有效应对不断进化升级的欺诈行为,并且可以有效输出群组结果,为客户提出多样化风控策略。

余丹提到,在DataVisor在服务中国区的第一个客户Funplus时,游戏产业中的欺诈行为及技术便已十分多样化。

最开始,攻击者通过刷机、下载这种最常见的欺诈手段。随着技术升级,他们开始做应用内的虚假打关,虚假活跃。他们以六小时为间隔,每六小时有一组人活跃,下一时间段换另一组活跃,一天活跃三四次。这些行为在无监督学习的检测下,及时挖掘群组行为之间的可疑关联和相似属性,及时调整模型保持时刻有效。

部分游戏公司,此前一直很稳,后来突然出现了断崖式留存,用户在前半个月非常活跃,到第15天时却集体消失。通过无监督监测,发现这是黑产的一种手段,他们与厂商定14日留存的KPI,让这些虚假用户活动14天,到15天钱款入账后便全部撤走。实际上,DataVisor在七天的时候已经监测到这些黑产的行动,后续又将窗口期延长至15天,使输出的群组结果更加详细,帮助客户制定更加准确的方案。

在提到与不同厂商之间的合作时,余丹表示不同公司的情况不同,在开展无监督学习方案,进行用户数据分析、建模、训练等过程所用时长也不相同。

“我们最快可以用三天时间帮助厂商完成模型搭建,但通常会用2—3周,视厂商具体情况而定。前期一般是数据收集和特征提取,之后进行模型训练,训练结束后需要一周时间进行部署,与客户一起做试运营和使用指导。”

在数据收集方面,余丹指出了三个途径。第一个是源于数据追踪公司,通过与游戏厂商合作的第三方数据追踪平台对接获得数据。第二个是游戏厂商自己收集数据,通过线下传递的方式获取,这种方式不涉及客户隐私问题。第三种就是DataVisor通过自己的方式获取数据,比如SDK,可以直接采集客户数据,方便建模。

无论是哪一种途径,都要针对每一个客户的数据做单独的特征提取和模型训练。在模型训练过程中,厂商的底层技术保持不变,包括游戏中的通用流程,比如很多游戏需要登录、注册的步骤;而改变的是针对每个客户的游戏特征做个性化增减,比如卡牌类游戏不需要注册,进入游戏后直接找对手,这就需要有针对行地去建立符合游戏特征的模型。

在实际的游戏中,无监督学习构建的模型是需要不断调整的。玩家行为多变,很多时候是不容易提前预判的,尤其对于一些电脑高手来说,他们可能会变换各种形式去进行攻击。而对于无监督来说是不需要提前预判玩家的行为和特征,而是通过批量的、集群抓取的方式,及时调整模型,聚类分析筛选出黑产,这其中涉及到无监督抓取的准确度和效率问题。

“我们在做模型时考虑到精准性,模型的维度切得越细,精准度就越高,比如在三维空间中和在上千维度空间中去做,一定是上千维空间的数据更准确。所以我们在拿到的数据字段做特征提取,把每一个特征都切得特别细,然后在高维空间中做聚类分析,提升准确度。同时针对每一个场景,调整容错率。”也就是说针对不同场景的玩家需求,调整抓取的准确度。

虽然说维度高将提升准确度,但并不是标签越多准确度越高,而是有效的数据处理字段越多,精准度才会越高。比如需要用户的经纬度时,客户却报不上来,这时候就算有一百个用户也算是无效字段,只有有效字段才能切得更细,并且需要后续调整,满足具体需求。

余丹举了一个例子,“在游戏欺诈里,购买服务器是比较常见的,当游戏厂商需要100个美国的新用户时,黑产们就会买一些代理IP,能够让用户的IP产生在美国,才能编造出来自美国的用户。当我们获取数据时发现,这些用户的行为很跳跃,经过建模的聚类分析这些代理商的IP是不同段内的,所以用户的行为就呈现出全球跳跃的状态,可能上一秒在北京,下一秒就在西雅图,通过我们对全球欺诈用户的观测,我们发现IP最聚集的地方是柬埔寨,人力比较便宜的地方,所以黑产比较密集。”

随着欺诈技术的不断提升,无监督学习也在不断升级和迭代,强化数据化分析,精细到每一个渠道,数据上的可视化分析带来更好的体验,在满足用户需求方面,无监督学习与市场需求越来越近。


中小型企业市场路在何方

无论是大型企业,还是中小型企业,涉及到安全和利润的事情都是不容忽视的。在游戏行业,即便是一个或两个人开发的游戏公司,也会遇到花钱买假量,这些虚假充值、虚假用户,不仅不能实现增值,反而影响利润,甚至是长远发展。在与中小型企业匹配的过程中,余丹还发现中小型企业有他们自身的技术问题,比如没有专门的技术支持,一个人要身兼多职等,这正是巨大的市场需求,DataVisor的触角也正逐步拓展至中小型企业。

但是对于中小型企业来说,他们的数据量很小,这也是很多厂商所担心的,他们认为自身的数据量不够,不足以监测欺诈,构建模型,进行模型训练。

“不依托海量数据也可以进行反欺诈监测,无监督学习的核心在于特征工程研究。基本上一个月有上万的数据量就可以做,这个数据标准已经很低,基本上放在应用商店里面就可以达到。”确切来说,无监督学习可以根据客户的数据量多少构建符合实际需求的模型,然后在后续的训练中逐步调整。

随着在国内的发展,DataVisor与中小型企业的项目落地已有两年,未来继续下沉中小型企业似乎是DataVisor必然的发展趋势,一方面我们可以看到无监督学习与中小型企业的数据匹配很高,另一方面是头部市场已经基本做的差不多。

在谈到未来布局,余丹表示,“首先就是要节省数据对接的流程,可以直接通过第三方对接进来;其次要给客户提供更多的解决方案,带来更好的体验,比如帮助客户做数据采集、为客户提供建议、提供可视化的数据分析和方案等。”

中小型游戏企业市场错综复杂,需求多样,如何在不断完善自身技术的同时,深度挖掘市场需求,满足企业的个性化需求,将是DataVisor打通中小型企业市场脉络的关键。

文章点评
相关文章